Avalanche Botnetz

Lawinen-Botnetz

Der BSI - Pressemitteilungen des BSI Die vom BSI im Rahmen der Lawinenabschaltung 2016 errichtete Dolinenanlage wurde um Bereiche aus dem Andromeda-Botnetz ergänzt. In einer internationalen Zusammenarbeit wurde dieses weltumspannende Botnetz am Stichtag 31. Dezember 2017 von Ermittlern zerstört. EJUST, die zuständige Behörde der Europäischen Union, hat die Aktivitäten der Generalstaatsanwaltschaften in der ganzen Welt koordiniert. In Deutschland war das Zentralkriminalamt in Lüneburg unter der Leitung der Generalstaatsanwaltschaft Verden zuständig.

Nach ersten Auswertungen sind täglich rund 1,3 Mio. mit der Malware Andromeda angesteckte Netzwerkverbindungen auf der ganzen Welt tätig. Die Hauptziele der über Andromeda vertriebenen Malware waren Asien, Nordamerika und in Europa Rumänien, Italien, Deutschland und Polen. Mithilfe der vor einem Jahr im Zuge des Lawinenabbaus und in Kooperation mit den Internet-Providern eingerichteten Senklochserver wurden die betroffenen Internet-Nutzer verwarnt und zur Bereinigung ihrer Anlagen aufgerufen.

Infolgedessen hat sich die Anzahl der Infektionskrankheiten, vor allem in Deutschland, erfreulich entwickelt: Die Anzahl der in Deutschland registrierten Infektionskrankheiten lag Ende Oktober 2017 nur noch bei rund 39 Prozentpunkten des anfänglichen Wertes. Die berichteten Infektionskrankheiten sind ebenfalls global zurückgegangen, beliefen sich aber immer noch auf rund 55 Prozentpunkte des Ursprungswertes. Das BSI hat am Stichtag 31. Dezember 2016 zusammen mit der Oberstaatsanwaltschaft Verden, dem ZKI Lüneburg und anderen in- und ausländischen Kooperationspartnern die Lawine vernichtet.

Unterstützt von FKIE lieferte das BSI die technischen Grundlagen für die Identifikation der Botnet-Infrastruktur und die Analysierung der von den Cyberkriminellen eingesetzten Malware sowie für die Bereitstellung von Informationen an die weltweiten Benutzer (siehe BSI-Pressemitteilung vom 11.12.2016). In den Auswertungen des BSI wurde unter anderem festgestellt, dass rund 20 unterschiedliche Botnets die Lawineninfrastruktur zum Versand von Spam- und Phishing-E-Mails, zur Verteilung von Lösegeld und zur Betrugsbekämpfung bei Online-Bankdienstleistungen einsetzen.

Um Malware-Infektionen auf Rechnern und Smart-Phones zu beseitigen, stellt das BSI unter www.bsi-fuer-buerger.de/botnetz den Betroffenen und der Malware Andromeda Information und Hilfe zur Verfügung.

Die BSIFB - Information über das Botnetz Avalanche

Ein internationaler Kreis von Tätern hat Hunderttausende von privaten und geschäftlichen Computersystemen mit verschiedenen Arten von Malware befallen. Das als Avalanche bezeichnete Netz ist heute eine der weltgrößten verfügbaren Botnet-Infrastrukturen. Es konnten in diesem Netz 20 unterschiedliche Botnets ermittelt werden, die die Infra-struktur zur Verteilung von Spam- und Phishing-E-Mails sowie von Malware wie z. B. Lösegeld (Erpressungstrojaner) oder Banktrojanern ausnutzen.

Die Generalstaatsanwaltschaft Warschau hat am 30. November 2016 in Kooperation mit dem ZKI Lüneburg und ausländischen Kooperationspartnern Lawinen ausgraben. Dabei werden so genannte Senklochserver verwendet, um IP-Adressen zu identifizieren, an denen sich mit Malware infizierte Endgeräte aufhalten. Bislang hat sich die Anzahl der Lawineninfektionen vor allem in Deutschland erfreulich gut ausgeprägt und lag nur bei rund 40 Prozentpunkten des Ausgangswertes.

Erkannte Infektionskrankheiten unter deutscher IP-Adresse werden den jeweiligen Internet-Providern zur Kenntnis gebracht, die dann ihre Kundschaft in schriftlicher Form über die Krankheit aufklären können. So werden nur diejenigen Clients benachrichtigt, deren Rechner derzeit befallen sind und deren IP-Adressen im Zuge dieser Maßnahme ermittelt werden können.

Über den CERT-Bund werden in über 80 Staaten der Welt Daten über die betreffenden fremden IP-Adressen an die jeweiligen verantwortlichen Länder weitergegeben, so dass auch die dort betreffenden Benutzer darüber unterrichtet werden können. Erkrankte Personen sollten ihre Endgeräte auf eine Malwareinfektion prüfen und Sicherheitslöcher schliessen. Durch die Zerstörung der Botnet-Infrastruktur wurde die Malware auf den betreffenden Rechnern nicht vernichtet.

Daher kann nicht gänzlich auszuschließen sein, dass die Verantwortlichen zu einem späteren Zeitpunkt erneut die Verfügungsgewalt über die entsprechenden Botnets erlangen. Die Betroffenen sollten daher so schnell wie möglich tätig werden. Windows-Systeme und Android-Smartphones waren nach heutigem Wissensstand des BSI vorwiegend Teil der entsprechenden Bottonets. Auf Smartphones mit Apple iOS, Microsoft Windows Phone oder einem Betriebssystem wie Apple Macintosh X oder Linux kann eine Ansteckung jedoch nicht gänzlich auszuschließen sein.

Nach bestem Wissen und Gewissen gehören auch keine Internet of Things (IoT)-Geräte wie z. B. eine Webcam, ein Printer oder ein TV-Empfänger zu diesen Botennetzen. Handlungsempfehlungen im Falle einer Ansteckung mit einem bösartigen Programm, Hintergrundinformationen zur Meldung durch den Anbieter und viele weitere Hinweise sind in unseren Häufig gestellten Fragen zu Lawine und Boten.